資料 4 サイバーセキュリティ協議会について 資料 4-1 サイバーセキュリティ協議会について ( 概要 ) 資料 4-2 サイバーセキュリティ協議会について

Similar documents
サイバーセキュリティ協議会について サイバーセキュリティ分野における従来の枠を超えた情報共有 連携体制の構築 内閣官房内閣サイバーセキュリティセンター基本戦略第 2 グループ令和元年 5 月

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針 平成 2 8 年 1 月 2 5 日サイバーセキュリティ戦略本部決定 1 更なる機能強化の必要性 我が国のサイバーセキュリティの確保に関しては 平成 27 年 1 月 サイバーセキュリティ基本法 ( 以下 基本法 という ) の全面施

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

カウンシルの創設について 重要インフラの情報セキュリティ対策の向上を図るため 重要インフラの情報セキュリティ対策の向上を図るため のにより のにより 2 月 日に創設 日に創設 政府機関から独立した会議体として 分野横断的な情報共有等の連携を推進 政府機関から独立した会議体と

PowerPoint プレゼンテーション

ACTIVEプロジェクトの取り組み

参考資料 1-1 本年次報告の位置付け サイバーセキュリティ戦略 (2015 年 9 月 4 日閣議決定 ) に基づく二期目の年次報告 2016 年度のサイバーセキュリティに関する情勢及び年次計画に掲げられた施策の実施状況を取りまとめたもの ウェブアプリケーション (Apache Struts 等

1. 元職員による働きかけの規制 ( 第 38 条の 2 関係 )1 1 離職後に営利企業等 1に再就職した元職員(= 再就職者 ) は 離職前 5 年間に在職していた地方公共団体の執行機関の組織等 2の職員に対して 当該営利企業等又はその子法人と在職していた地方公共団体との間の契約等事務 3につい

(2) 総合的な窓口の設置 1 各行政機関は 当該行政機関における職員等からの通報を受け付ける窓口 ( 以下 通報窓口 という ) を 全部局の総合調整を行う部局又はコンプライアンスを所掌する部局等に設置する この場合 各行政機関は 当該行政機関内部の通報窓口に加えて 外部に弁護士等を配置した窓口を

いる 〇また 障害者の権利に関する条約 においては 障害に基づくあらゆる差別を禁止するものとされている 〇一方 成年被後見人等の権利に係る制限が設けられている制度 ( いわゆる欠格条項 ) については いわゆるノーマライゼーションやソーシャルインクルージョン ( 社会的包摂 ) を基本理念とする成年

PowerPoint プレゼンテーション

ICT-ISACにおけるIoTセキュリティの取組について

都道府県医師会 情報システム担当理事殿 ( 情シ 35) 平成 30 年 11 月 6 日日本医師会常任理事石川広己 医療機関等におけるサイバーセキュリティ対策の周知について 時下ますますご健勝のこととお慶び申し上げます 日頃より会務運営に対しましてご高配を賜り深く感謝申し上げます 医療機関でのIT

組織内CSIRTの役割とその範囲

「サイバー情報共有イニシアティブ(J-CSIP)」の紹介

PowerPoint プレゼンテーション

サイバーセキュリティ基本法の一部を改正する法律案参照条文(参照法令一覧) サイバーセキュリティ基本法(平成二十六年法律第百四号)1 情報処理の促進に関する法律(昭和四十五年法律第九十号)(抄)10 高度情報通信ネットワーク社会形成基本法(平成十二年法律第百四十四号)(抄)10

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

情報セキュリティ普及 啓発プログラム 改定の方向性 ( 案 ) 背景 若年層から高齢者までのあらゆる世代 個人 家庭 職場 公共施設などのあらゆる場面 国民 1 人 1 人の日常生活や社会経済活動等のあらゆる活動にサイバー空間が拡大 浸透 東京オリンピック パラリンピックが開催される 2020 年を

観観産第 号 平成 29 年 12 月 28 日 一般社団法人全国旅行業協会会長 殿 観光庁参事官 ( 産業政策担当 ) 旅行業法の改正に伴う経過措置について 通訳案内士法及び旅行業法の一部を改正する法律 ( 平成 29 年法律第 50 号 ) により旅行業法 ( 昭和 27 年法律第

504 特定事業等に係る外国人の入国 在留諸申請優先処理事業 1. 特例を設ける趣旨外国人研究者等海外からの頭脳流入の拡大により経済活性化を図る地域において 当該地域における特定事業等に係る外国人の受入れにあたり 当該外国人の入国 在留諸申請を優先的に処理する措置を講じることにより 当該地域における

改正犯罪収益移転防止法_パンフ.indd

防犯カメラの設置及び運用に関するガイドライン

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

被用者年金一元化法による追加費用削減について 昨年 8 月に社会保障 税一体改革関連法の一つとして被用者年金一元化法が成立 一元化法では 追加費用財源の恩給期間にかかる給付について 以下の配慮措置を設けた上で 負担に見合った水準まで一律に 27% 減額することとし 本年 8 月まで ( 公布から 1

京都府がん対策推進条例をここに公布する 平成 23 年 3 月 18 日 京都府知事山田啓二 京都府条例第 7 号 京都府がん対策推進条例 目次 第 1 章 総則 ( 第 1 条 - 第 6 条 ) 第 2 章 がん対策に関する施策 ( 第 7 条 - 第 15 条 ) 第 3 章 がん対策の推進

社会的責任に関する円卓会議の役割と協働プロジェクト 1. 役割 本円卓会議の役割は 安全 安心で持続可能な経済社会を実現するために 多様な担い手が様々な課題を 協働の力 で解決するための協働戦略を策定し その実現に向けて行動することにあります この役割を果たすために 現在 以下の担い手の代表等が参加

ログを活用したActive Directoryに対する攻撃の検知と対策

<4D F736F F D208E9197BF E88E68EE58CA C490BA96BE95B62E444F43>

することを可能とするとともに 投資対象についても 株式以外の有価証券を対象に加えることとする ただし 指標連動型 ETF( 現物拠出 現物交換型 ETF 及び 金銭拠出 現物交換型 ETFのうち指標に連動するもの ) について 満たすべき要件を設けることとする 具体的には 1 現物拠出型 ETFにつ

規制の事前評価の実施に関するガイドライン(素案)

Ⅰ はじめに 1 ガイドラインを策定する目的 大阪市は 政令指定都市の中でも街頭犯罪が多い都市となっており 安全で安心して暮らせるまちづくりのための対策が必要となっています その中で 防犯カメラは 24 時間撮影が可能であることから 犯罪の抑止効果があるとともに 犯罪発生時には容疑者の特定にも役立つ

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

の ( 情報通信分野 ) ( 電気通信 ) T- ( 放送 ) 放送における情報共有体制 ( 財 ) マルチメディア振興センター 総務省情報通信政策局地上放送課 1. IT 障害の未然防止 IT 障害の拡大防止 迅速な復旧 IT 障害の要因等の分析 検証による再発防止を図り 電気通信事業者のサービス

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や

女性の活躍推進に向けた公共調達及び補助金の活用に関する取組指針について

p81-96_マンション管理ガイド_1703.indd

【日証協】マイナンバー利活用推進小委員会提出資料

資料 4 医療等に関する個人情報 の範囲について 検討事項 医療等分野において情報の利活用と保護を推進する観点から 医療等に関する個人情報 の範囲をどのように定めるべきか 個別法の対象となる個人情報としては まずは 医療機関などにおいて取り扱われる個人情報が考えられるが そのほかに 介護関係 保健関

<433A5C C6B617A B615C B746F705C8E648E965C8D7390AD8F918E6D82CC8BB38DDE5C CC2906C8FEE95F195DB8CEC964082CC92808FF089F090E E291E88F575C95BD90AC E937894C55C D837A A CC2906C8FEE9

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

2

法律第三十三号(平二一・五・一)

資料1:地球温暖化対策基本法案(環境大臣案の概要)

PowerPoint プレゼンテーション

学生確保の見通し及び申請者としての取組状況

金融商品取引法の改正 ~ インサイダー取引規制に係る見直しについて 1. はじめに 2013 年 4 月 16 日に 金融商品取引法等の一部を改正する法律案 が第 183 回国会に提出され 同年 6 月 12 日に成立 同月 19 日に公布されました ( 平成 25 年法律第 45 号 以下 改正法

KSforWindowsServerのご紹介

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

Microsoft PowerPoint - 03a_(別紙2表紙).pptx


情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

< F2D91DE E8BE08B8B D8790CF97A78BE082CC>

周南市版地域ケア会議 運用マニュアル 1 地域ケア会議の定義 地域ケア会議は 地域包括支援センターまたは市町村が主催し 設置 運営する 行政職員をはじめ 地域の関係者から構成される会議体 と定義されています 地域ケア会議の構成員は 会議の目的に応じ 行政職員 センター職員 介護支援専門員 介護サービ

11

子宮頸がん予防措置の実施の推進に関する法律案要綱

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

No. 箇所 頁 団体名 御意見 御意見に対する考え方 修正 4 Ⅲ 全国銀 11 行協会 内部統制 の一般的な定義に鑑みると 内部統制を図るための取組 として ペネトレ ション が例示されている点には違和感がある 例えば ペネトレ ションテスト を独立して記述することを検討いただきた

<4D F736F F D B A815B836782CC8A C98C5782E9834B C4>

平成22年○月○日

「犯罪被害者等の安全・安心の確保」への取組状況及び今後の方針

内部不正を防止するために企業は何を行うべきなのか

により 都市の魅力や付加価値の向上を図り もって持続可能なグローバル都 市形成に寄与することを目的とする活動を 総合的 戦略的に展開すること とする (2) シティマネジメントの目標とする姿中野駅周辺や西武新宿線沿線のまちづくりという将来に向けた大規模プロジェクトの推進 並びに産業振興 都市観光 地

JPCERTコーディネーションセンター製品開発者リスト登録規約

目次 はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 ネットワーク構成の確認等 プロキシログの解析等 認証サーバの調査 感染端末に対するフォレンジック調査 攻撃の全体像 10 3.

2020 年に向けた社会全体の ICT 化推進に関する懇談会 の開催について 1 平成 26 年より 総務大臣の懇談会として 2020 年に向けた社会全体の ICT 化推進に関する懇談会 を開催 アクションプランに基づき 2020 年以降のレガシーを視野に入れつつ ICT 化に向けた施策を進めてきた

本研究会での検討スケジュール ( 案 ) 1 検討スケジュール 第 1 回 国内外におけるセキュリティリスクの状況 第 2 回 対策の方向案 各論の深掘り 各論に係るプレゼン セキュリティマネジメントの評価のあり方について ( 横河電気 ) 第 3 回 対策の方向案 各論の深掘り 各論に係るプレゼン

横浜市市民活動推進条例の全部改正

<4D F736F F D2094C68DDF94ED8A518ED28E E E2E646F6378>

下の図は 平成 25 年 8 月 28 日の社会保障審議会介護保険部会資料であるが 平成 27 年度以降 在宅医療連携拠点事業は 介護保険法の中での恒久的な制度として位置づけられる計画である 在宅医療 介護の連携推進についてのイメージでは 介護の中心的機関である地域包括支援センターと医療サイドから医

公共工事等における新技術活用システムについて 別添 公共工事等に関する優れた技術は 公共工事等の品質の確保に貢献し 良質な社会資本の整備を通じて 豊かな国民生活の実現及びその安全の確保 環境の保全 良好な環境の創出 自立的で個性豊かな地域社会の形成等に寄与するものであり 優れた技術を持続的に創出して

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

<4D F736F F D DC58F4994C5817A95BD90AC E8E99837C89FC90B A78BC78A6D94468DCF816A202D B2E646F6378>

資料1 短時間労働者への私学共済の適用拡大について

マルウェアレポート 2017年12月度版

など 国の行政機関の法令遵守の確保につながるものである また 内部の職員等からの通報を積極的に活用したリスク管理等を通じて 国の行政機関が適切に行政事務を遂行していくことは 公務に対する国民の信頼の確保並びに国民生活の安定及び社会経済の健全な発展にも資するものである 本ガイドラインは 以上の意義を踏

プリント

資料4_1いじめ防止対策推進法(概要)

資料2旅館業法整理(案)

<4D F736F F D CD C6944E8BE0816A8A748B638C8892E C C816A2E646F6378>

中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律

安全保障会議 ( 現行 ) の概要 ( 構成 ) 委員長 : 内閣官房長官 委 安全保障会議 ( 構成 ) 議長 : 内閣総理大臣 事態対処専門委員会 内閣総理大臣の諮問に基づき 以下の事項を審議 国防の基本方針 防衛計画の大綱 対処基本方針 武力攻撃事態 / 周辺事態等への対処 / 自衛隊法第 3

資料1 第3回災害救助に関する実務検討会における意見に対する回答

雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項 第 1 趣旨 この留意事項は 雇用管理分野における労働安全衛生法 ( 昭和 47 年法律第 57 号 以下 安衛法 という ) 等に基づき実施した健康診断の結果等の健康情報の取扱いについて 個人情報の保護に関する法律についての

Microsoft PowerPoint - 【セット】IPA.pptx

福利厚生基本計画

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

目次 1. はじめに 1 (1) 基本方針策定の目的 1 (2) これまでの取組みと今後の取組み 1 (3) 街頭防犯カメラ と 施設監視カメラ 2 2. 設置に係る基本方針 3 (1) 設置場所 3 (2) 撮影範囲 4 (3) 設置していることの表示 4 (4) 設置地域の周知 4 (5) 地域

個人情報保護法と 行政機関個人情報保護法の 改正点概要

(1) 当該団体が法人格を有しているか 又は法人格のない任意の団体のうち次の1~2の要件を全て満たすもの 1 代表者の定めがあること 2 団体としての意思決定の方法 事務処理及び会計処理の方法 並びに責任者等を明確にした規約その他の規定が定められていること (2) 関係市町村との協議体制を構築してい

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

Microsoft PowerPoint - 03_参考資料

企業、金融機関、行政機関のマイナンバー情報保護措置(4)

PowerPoint プレゼンテーション

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

1 趣旨このガイドラインは 日本国内の公道 ( 道路交通法 ( 昭和 35 年法律第 105 号 ) 第 2 条第 1 項第 1 号に規定する 道路 をいう 以下同じ ) において 自動走行システム ( 加速 操舵 制動のうち複数の操作を一度に行い 又はその全てを行うシステムをいう 以下同じ ) を

1 策定の目的 この手引書は 茅ヶ崎市地域防犯カメラ ( 以下 地域防犯カメラ という ) の設置及び運用について配慮すべき事項を定めることにより 地域防犯カメラの有用性とプライバシー保護等との調和を図り 地域防犯カメラを適切かつ効果的に活用し 茅ヶ崎市の安心して安全に暮らせるまちづくりを推進するこ

Transcription:

資料 4 サイバーセキュリティ協議会について 資料 4-1 サイバーセキュリティ協議会について ( 概要 ) 資料 4-2 サイバーセキュリティ協議会について

海外の行政機関 民間事業者等連携 サイバーセキュリティ協議会について資料 4-1 サイバーセキュリティ基本法の一部を改正する法律が成立 ~ 民間企業等が情報共有をためらう要因となっているデメリットを 法律上の措置によって除去 ~ 2019 年 4 月の施行を想定 概要 官民の多様な主体が相互に連携し サイバーセキュリティに関する施策の推進に係る協議を行うための協議会を創設 構成員に対して守秘義務及び情報提供義務を適用する等の措置を講ずる サイバーセキュリティ協議会 事務局 (NISC 専門機関 ) 有識者等 国の行政機関 専門機関等から得られた対策情報を戦略的かつ迅速に共有 地方公共団体 重要インフラ事業者 サイバー関連事業者 ( セキュリティ事業者 システム関連事業者等 ) 教育研究機関 〇情報共有のデメリット除去のために必要な規定を措置 1 罰則 ( ) により担保された守秘義務 サイバーセキュリティの確保の促進 1 年以下の懲役又は 50 万円以下の罰金 2 法律に規定された情報提供義務 国民の安心 安全の確保 経済社会の活力向上等に寄与 サイバーセキュリティ協議会の運用ルール案 ~ デメリットの除去に加え 協議会の運用ルールにより情報提供を行うメリットを付加 ~ 背景 デメリット除去を法改正によって措置することは不可欠だが それだけでは情報提供を促進するインセンティブにならないため 情報提供を行うメリットを増加させることも重要 解決策 ( 運用ルール案 ) 提供者のモチベーションと提供される情報の質を維持するため 積極的な情報提供に能力と意欲を有する者を 一般の構成員と別に 特別貢献構成員 ( 仮称 ) としてグループ化 特別貢献構成員 ( 仮称 ) のメリット サイバーセキュリティ協議会 〇提供した未確定の情報に対して相互にフィードバックを行うことで 提供した情報の確度を高めることができる 〇各主体がフィードバックだけでなく 自らも積極的に情報を提供するギブアンドテイクの原則を徹底することで 特別貢献構成員のみに共有される情報を得ることができる 改正法中 協議会の組織及び運営に関し必要な事項は協議会が定める としており 今後 協議会の運用ルール ( 規約 ) で整備予定 構成員の役割 特別貢献構成員 ( 仮称 ) 未確定の情報を相互にフィードバックを行い 速やかに対策情報等を作出する 専門機関 セキュリティベンダ等 対策情報等の情報提供 一般の構成員基本的に 作出された対策情報等を受領し 自らの組織の対策に役立てる 国の行政機関 地方公共団体 重要社会基盤事業者等

資料 4-2 サイバーセキュリティ協議会について サイバーセキュリティ分野における従来の枠を超えた情報共有 連携体制の構築 ( 検討中の案 ) 内閣官房内閣サイバーセキュリティセンター基本戦略第 2 グループ平成 31 年 1 月

サイバーセキュリティに関する情報共有の効果とその重要性 ( 単独で行う対策の限界 ) サイバーセキュリティの確保は 本来 各組織が自主的に取り組むべきもの しかし サイバー攻撃の複雑化 巧妙化により 被害組織 ( 被害組織から相談を受けるセキュリティベンダ 専門機関等を含む ) が単独で有効な分析を行い 確証をもって効果的な対策を迅速に講じることに限界が生じてきている また 被害組織等から他の組織へ迅速な情報共有が行われなければ 攻撃手口や対策手法等を他組織が知ることができず 同様の手口によるサイバー攻撃の被害がいたずらに拡大するおそれ 個社単独での対策の限界 イメージ 2 攻撃の成功 情報共有の効果 イメージ 1 攻撃 情報共有体制 攻撃者 攻撃者 3 同様の攻撃 4 被害の拡大 被害の予防拡大防止 多様な主体による連携 ( 情報の共有 対策の協議 ) 1

( 参考 ) 既存の情報共有体制の具体例 〇現在 NISC をはじめとする政府機関や民間において 以下のような情報共有体制が活動している ( 代表的なものを紹介 ) 早期警戒情報の提供システム CISTA (JPCERT/CC) CISTA : Collective Intelligence Station for Trusted Advocates 重要インフラの情報セキュリティ対策に係る第 4 次行動計画 に基づく情報共有体制 (NISC) サイバー情報共有イニシアティブ J-CSIP (IPA) J-CSIP : Initiative for Cyber Security Information sharing Partnership of Japan 日本サイバー犯罪対策センター (JC3) による情報共有 ICT-ISAC 金融 ISAC 電力 ISAC 等 ( 民間事業者 ) ISAC : Information Sharing and Analysis Center 2

事案の概要 ( 参考 ) ランサムウェア WannaCry ( ワナクライ ) 事案 平成 29 年 5 月 政府機関や病院 銀行 大手企業等のコンピュータが マイクロソフト製品の脆弱性を悪用したランサムウェア ( 身代金要求型の不正プログラム ) WannaCry ( ワナクライ ) に感染 海外 : 約 150 カ国以上で感染 英国の病院では診療 手術の中止等 業務に支障を及ぼす被害が発生 日本 : 自治体 鉄道 病院といった重要な機関を含む幅広い分野において被害が発生 H29.3 月 H29.4 月 H29.5 月 3/15 Microsoft 製品の脆弱性修正プログラム公開 5/12( 金 ) A 社システム異常発生 5/13( 土 ) A 社対策チーム立ち上げ 状況把握開始 5/15( 月 ) A 社がサイバー攻撃を受けた旨報道 5/15 ( 月 ) B 市 C 市 D 社にて感染確認 5/16 ( 火 ) E 社感染確認 5/17 ( 水 ) A 社復旧 ニュースリリース 当時 被害拡大を防ぐために迅速な共有が必要であった情報は何か 修正プログラム未適用の PC は 起動した瞬間にネットワーク経由で感染し ロックされるおそれ 各職員は出勤後 不用意に PC を起動してはならない この旨を 国内の各組織に ( 職員出勤時刻までに ) 一刻も早く周知する必要があった しかし 当時の被害企業にとっての情報提供リスク 個社単独では自らの分析内容に確証が持てない状況 情報提供先の他組織で秘密の保持が十分に担保されていない 情報提供の結果 誤った情報が世間に漏れることで 責任追及を受けるリスク 風評被害を受けるリスク 3

情報共有体制に関する課題とその解決方法 デメリットの除去 と メリットの増加 が重要 事業者等が直面する課題 デメリットの除去 信頼できる者以外には情報を出せない 提供した情報が適切に取り扱われず 提供者名等が漏れてしまうおそれ 機微な情報を法的根拠なく提供すると 他法に抵触するおそれ 共有相手を選択できるしくみ 罰則により担保された守秘義務 ( 法律事項 ) 法律に規定された情報提供義務 ( 法律事項 ) P5 事業者等が直面する課題 メリットの増加 情報を提供しても それに対するフィードバックがない こちらから情報を出すばかりでは不公平である 提供した情報に対するフィードバックを得られる仕組み ただ乗り を防止し ギブアンドテイクの情報共有 P6 4

海外の行政機関 民間事業者等連携 趣旨 デメリットの除去について ~( 法律事項 ) サイバーセキュリティ基本法の一部を改正する法律 ~ ( 平成 30 年法律第 91 号 ) サイバーセキュリティに対する脅威が一層深刻化する中 官民の多様な主体が相互に連携し サイバーセキュリティに関する施策の推進に係る協議を行うための協議会を創設 構成員に対して守秘義務及び情報提供義務を適用する等の措置を講ずる サイバーセキュリティ協議会 事務局 (NISC 専門機関 ) 有識者等 専門機関等から得られた対策情報を戦略的かつ迅速に共有 国の行政機関 地方公共団体 重要インフラ事業者 サイバー関連事業者 ( セキュリティ事業者 システム関連事業者等 ) 教育研究機関 サイバーセキュリティの確保の促進 国民の安心 安全の確保 経済社会の活力向上等に寄与 〇情報共有のデメリット除去のために必要な規定を措置 1 罰則 ( ) により担保された守秘義務 1 年以下の懲役又は 50 万円以下の罰金 2 法律に規定された情報提供義務 施行時期は 2019 年 4 月を想定 運用システムは JPCERT/CC の早期警戒情報提供システム CISTA を活用予定 5

メリットの増加について ~ ギブアンドテイク による情報共有 ~ 背景 解決策 法改正によるデメリット除去は不可欠だが それだけでは情報提供を促進するインセンティブにならないため 情報提供を行うメリットを増加させることも重要 提供者のモチベーションと提供される情報の質を維持するため 積極的な情報提供に能力と意欲を有する者を 一般の構成員と別に 特別貢献構成員 ( 仮称 ) としてグループ化 特別貢献構成員 ( 仮称 ) のメリット 〇提供した未確定の情報に対して相互にフィードバックを行うことで 提供した情報の確度を高めることができる 〇各主体がフィードバックだけでなく 自らも積極的に情報を提供するギブアンドテイクの原則を徹底することで 特別貢献構成員のみに共有される情報を得ることができる サイバーセキュリティ協議会 改正法中 協議会の組織及び運営に関し必要な事項は協議会が定める としており 今後 協議会の規約で整備予定 構成員の役割 特別貢献構成員 ( 仮称 ) 未確定の情報を相互にフィードバックを行い 速やかに対策情報等を作出する 専門機関 セキュリティベンダ等 対策情報等の情報提供 一般の構成員 基本的に 作出された対策情報等を受領し 自らの組織の対策に役立てる 国の行政機関 地方公共団体 重要社会基盤事業者等 一般の構成員のメリット 守秘義務が強く担保された協議会の枠組みの下で 特別貢献構成員等に対し 安心して相談することができる 6

事象等の発生 協議会における対策情報等の作出及び共有の流れの全体像 特別貢献構成員 ( 仮称 ) による未確定情報の相互交換 対策情報等を作出 一般構成員へ共有 サイバーセキュリティに関する事象やその予兆の発生 重要社会基盤事業者等 多様な主体から 任意の連絡 相談が寄せられる 特別貢献構成員 共有相手は選択可能 特別貢献構成員 共有する未確定情報の例 : 攻撃に利用されている脆弱性の識別子 マルウェアの挙動等 政令指定法人 (JPCERT/CC) 貢献がないと地位を維持できない 特別貢献構成員 対策情報等 例 : 特定のメーカーから出ているパッチを当てる PC を立ち上げない等 要件を満たし 希望すれば 専門機関 セキュリティ事業者以外の主体も特別貢献構成員 ( 仮称 ) となることが可能 一般構成員国の行政機関 一般構成員地方公共団体 一般構成員重要社会基盤事業者 〇一部の専門機関 セキュリティ事業者からは 守秘義務等が法律で規定されたことに加え 協議会の運営にあたって特別貢献構成員 ( 仮称 ) 同士の未確定情報の相互交換が公正に行われれば 協議会における情報共有活動が更に活発化する といった期待の声が挙がっているところ 〇また 一部の重要社会基盤事業者等からは 自社で事案発生の疑いが生じた際に 守秘義務が強く担保された協議会に対しては ダイレクトに 気兼ねなく安心して連絡 相談することができる といった期待の声が挙がっているところ 〇いずれにせよ 具体的な運用の詳細については 引き続き関係者等の意見を踏まえつつ慎重に検討を進める予定 7

その他運用における留意事項 1 他の情報共有体制との連携 ( 参加者の事務負担増への配慮 ) 重要インフラ事業者等 複数の情報共有体制に参加する主体に 重複作業の発生等による事務負担をおかけすることがないよう 他の情報共有体制との間で必要な連携を協議していく予定 2 リアルタイムでの情報共有の追求できるだけリアルタイムでの情報共有を実現する観点から 協議会は逐一対面で集まるのではなく システムを通じて行っていく予定 3 発足当初は G20 等に万全を期す観点から優先度の高い主体に対し 参加を働きかけ協議会の発足時点 (2019 年 4 月を予定 ) における構成員については 同年 6 月の G20 等に万全を期す観点から優先度の高い主体に対し働きかけを行うこととし 発足後 協議会の実際の運営状況等を踏まえつつ 2020 年東京大会等に万全を期す観点から漸次拡大していくこととする予定 ( 理由 ) (1) 12 月の法案成立後まだ間もないところであり 具体的な運営ルールに関する各関係主体との協議は 各主体から寄せられたご意見等を丁寧に踏まえつつ 今後 十分な時間的余裕をもって慎重かつ誠実に進める必要があること (2) 協議会の運営について十分な経験の蓄積がない段階で多くの主体が一斉に参加することとなると 各主体が機微な情報を出しづらくなったり 現場が混乱したりするおそれがあること 8

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック